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BESCHREIBUNG 



und LBsen dieses zernif ikats - 

-z^^fifikaten zugrundeliegende Idee ist 

elnes Benutzers oaer 

zwe=k gescnaffene institution, genannt 
Z*f!.i.rung»«eixe. Warden die Anforde^ngen der 

.dantltMt.nac.-els .rWllt. . " -///^t^t^nLson ode. des 
8«entllchen schiussel . ^^^^^^^'^^ eleKtronlBch,« 
ldentl.lxiert.„ "^I'^^^^^r TuZL.^^ eia.s 
unterschrift. l»r vorteil far Qi ledlgllcB der 

a.tentllcnes «.t«s -^'^\^^^^^l:',,T:J.rl.^ 
unterscnrlft d« <,er pras.ntl«rt«n 

slcn aul disse «eise der Authent^ltat der pr 
8ffentlich.n SoMdssel slch.r sein k»nnen. 

rnn;-e"-,"rd^^ 

der Authenzit»t von =1^""""°" der Erxeugang 

:rn:r-d!::::rr,=r^^^^^ - - 
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T^^vtf^^vaties wird mit ©inem HASH 
Algorithmus ein HASH-Wert gebildet- 

dient 2ur Komprlmierung der Daten des 
Der HASH-Alqorithmus diem; 

ersten Teila des Zertif ikatea • 

. w, efiend wird der HASH-Wart nit einem Krypto-Algorlthmus 
SchlUssel eines schliiBselpaares benutzt. 

..„e. person ode. e.ne. ^:^:Z.n 
Zwecken dienen sollen. Dlese 4"=^ 

Kommunikatlon in Netswerk i.B.s .„„„„„„a 

-m.,rprafa«, elnos Benu«er= .Iner Anvendun, 

digitaler Signatur. 

Oie V«rwen<lun,s»B,lic^xeiten .ines scWB..el« «lrd in eln«. 
.I„zlg.n «rtlflkat f«tgel«gt und ^« 
zertl£izi.runc,stell« digital unt.tschr.eben. 

stand der ToehnUc 
Z„r zeit «uB loder digitaXe SchlUssel. der far elne Person 
T T^LTtutlon ausgestelit wird, -It Jewells elnem 
Oder institution ausg zertlfikate bleten die 

zertitlkat versehen werden. Die zettllixai. 
8«is dass Ko^nunlkationspartner die reontnSsslge 
vrr^;dun, ernes schlussels a^erprUten k»n„,n. aedes dieser 
Te^iUKate »enBti,t ca. 800 Ms 4000 Bytes an oaten 

--"-"=^,r,ir:rs"' -i rc^iassei .mer 

r.rpk:r:r:rt!riri::; ::::speic.ert werden -iien «erden 

Chipxarte Zertifikate benotigt. 

-vlntronLle spoiCemng von SdUsseln 
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auf elner Chipkarte. Fiir Jeden SchlUssel {1-3) wird ein 
Zertifikat ausgestellt und auf der Chipkarte abgelegt. Es 
ist nicht mSglich, mehrere Schiassel mlttels eines 
Zertifikats ausaustellen und auf der Chipkarte abaulegen. 

Nachteile des Stands der Technik 

Die Ausstellung einzelner zertifikate pro verwendeten 
schiassel bedeutet einen erhShten speicherbedarf auf den 
Speichermedien des schliisselbeaitzers . zusStzllch mufl jedes 
Zertifikat an die verschiedenen Kommunikatlonspartnem des 
schliisselbesitzers iibermltteit und von diesen abgespeichert 
warden. Diese Zertlfikate sind auch auf den verschledenen 
X.500 servern Im Netzwerk und innerhalb der 
Zertifizierungsstelle in offentlich augMnglichen 
Zertifikatsverzeichnissen zu speichern, Welche Datenf elder 
in mehreren Zertifikaten alles redundant sein konnen, aeigt 
FIG, 2. 

Die Tatsache, dan pro SchiasaeL ein Zertifikat nStig ist, 
ergibt einen erhdhten Komidunikatlonsbedarf pro Transaktion 
und einen erhShten Speicherbedarf bei alien 
Kommunikationspartnern. Beim Ablauf des Giiltigkeltsdatums 
der Zertif ikate miissen jeweils fiir all© Schliissel neue 
separate zertifikate beantragt und von der 
Zertif izierungsstelle ausgestellt werden 

Es ist daher Aufgabe der vorliegenden Erf indung, ein neue 
Form des Zertifikates bereitzustellen, das schnell zu den 
jeweiligen Kommunikationspartnern ubertragen werden kann und 
zu einem reduziertem Speicherbedarf auf den Speichermedien 
fUhrt. 

Diese Aufgabe wird durch die Merkmale in Anspruch 1,8.10,15 
und 17 gelost. Weitere vorteilhafte AusfUhrungsf orraen sind 
in den Onteranspruchen riiedergelegt- 
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Ein wesentllcner vor^eil der vorliegenden Erflndung llegt xn 
der Reduzi«rung de. speicherbedarf a durch die Erstell^ng 
eines neuen Zertif ikatatyps . Dem neuen zertif llcattyp Ixegt 
die Idee zugrunde, dafi mehrere Zertifikate, die eine 
„lade«i.«enge von redud«nt.n Datenfelder enl.halten, exnem 
Zer-ifikat zus^nmengef aflt werden bzw. alle redundanten 
informationen der Zertifikate eliniiniert werden. Eine 
AusfUhrungsform des neuen Zertif Ikatstyps ist das 
Gruppenzertifikat. Das Gruppen-Zertlf ikat: eignet sxch 
msbesondere dann, wenn mehrere Schlus^el gleichzextxg fur 
denselben Benutzer von derselben zertif i^i^rungsinstanz 
ausgest^ellt werden soUen. Durch das Gruppenzertxf ikat 
werden alle redundanten Dateneiemente eliminlert und alle 
Datenelemente fiir mehrere zu zertifizierende Schliissel 
Jconunen in ein Zertifikat:. Hierdurch wird der speicherbedarf 
^afigeblich reduziert und die Handhabung der ZertifxXate wxrd 
bei den Kommunikatlonspartnern vereinfacht. Eine wextere 
Ausfvihrungsform des neuen Zertif ikatstyps ist das B-"- 
Erganzungs-zertifikat. Diese Form der zertifizierung exgnet 
sich bel zextlich versetzter Ausstellung von Zertifikat^n 
ftir denselben Benutzer durch dieselbe Zertif izierungsstelle. 
Der speicherbedarf ist damit etwas grSfler als bel 
Gruppenzertiflkaten, jedocb gewinnt man FlexlbilxtSt bex der 
verwendung der SchlUssel. 

Die vorliegende Erf indung vird anhand bevorzugter 
Ausfuhrungsbeispiele in verbindung mit zeichnungen ndher 

beachriebert/ wobei 

FIG. 1 die konventxonelle zertif laierung von Schliiaseln 
nach dera Stand der Technik zelgt 

FIG. 2 daa erfinderische Grundprinzip basierend auf der 
Zertif izlerung nach FIG. 1 zeigt 
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FIG. 3 den Aufbau des erf inderiBChen Gruppen-Zertif ikats 
ftir die Schliissel nach FIG. 1 zeigt 

PIG. 4 den Aufbau des erf intierischen Basis- und 
Erganaungs-zertifikats zeigt 

PIG 5 das verfahrert zum Eratellen des erf inderischen 

Gruppen-, Basis- und Ergan.ungs-Zertif ikats zexgt 

yiG 6 das verfanren zum Lesen des erf inderischen 

Gruppen-, Basis- «nd Ergan^ungs-2eri:if iKai.s zexgt; 

in FiG.l wird die konventionelle zertifizierung von 

, J Pur ieden Sch.lusael wird ein 

schltisseln dargeetelit; . rur • 

scniUBse ^ nas Zertifikat besteht aus zwei 

Zertifikat ausgestelit. Das zertxrut* 
Teilen. Der erate Teil enthalt die ln£c,rt«atxonen 
rolLnele^ente) iiber die zertif i.ierungssteile teller 
Zs zer^ifikates), den Benutzer des .en:ifikaues und den 
durch daa zertifikat zertif izierten S-**^^"^^;^ 
oatenelemente sind z.B. Inf ormatiohen iiber Schlussel, 
Aussteller des Zertif ikates , Benutzer, unterschr^fts 
Tgo/itiLs, seriennun-ner usw. .er zweite -il ent..lt e.ne 
digitala Signatur .ber den ersten Teii des 
Xabexie i beschreibt die anhand eines ^-'-^'^'^^^^^^ 
„.oglichen Komponenten des ersten Teils exnes Zertxfxkates . 
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Tabeile 1 

Komponente Byte 



2 

3 

4 

5 

6 

7 

8 

9 

10 
11 
12 
13 



Bit 7 : 0 = geheiiner Schluss«l 

1 = fentlicher Schltissel 
Bit 6-Os Schlusselidentifikation 
Algorithmus-Identiflkation 
Hash-AlgorithmuB-identififcatlon 
Padding-Algorithrous-ldentifiXation 

4 Hut sung Byte 0 

5 Nutzung Byt« 1 

7 Kominelle Schliisseixange in Bits 

9 LSnge elnes Datenbloclcs 

10 l^ange einer Signatur 

11 LSnge der Beriutzerinf ormatibn 

12 Benutserinformationen 

13 Lange der Schliisseldaten 
15 Schliisseldaten 



Hit«lB c.r Ka«po„an« 1 de. ze«ei«« Wire ang«.l9^, Ob 

■.n.Lh.lten«n kryptogralischen schluasels an. Soil del ^ 

ao wlr. dlese «chXUaaeUden.if iKa^ion 

wird erzeugt. 
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Mit Hilfe der folgenden Komponeaten 2/ 3 und 4 werden 
Algorithmen-ldontifikattonen angegeben. Koraponente 2 gabt 
an fiir welche asy«imetrischen kryptograf iachen Verfahrexv der 
.u'z.rtifl.iarende Schliissel geeignet 1st. Bal der Benutzung 
des zertlfizierten Schliissels kCnnen beispielhaft ein Hash- 
Algorithinus und/oder ein Padding- Algcrith^ua verwendet 
werden. Dies wlrd mit Hilfe der Komponenten 3 and 4 
festgelegt. 

Mit Hilfe der Komponenten 5 und 6 X5nnen Anwendurvgagebieto 
m des kryptografischen schlUsaels festgelegt werden. 

^ Beispielhaft kann mit Hllfa der Komponente 5 

werden, d.B der kryptograf leche Schliissel ausschlxefilrch zur 
Erzeugung elektroniachen Signaturen verwendet werden darf . 
Die Komponente 7 glbt In Bits die l^ange dee Krypto^raf .schen 
SchlUssels an. welcher nit Hilfe des Zertifikats 
zertifiziert werden soil. Mit Hilfe der Komponenten 8, 9 und 
10 werden BlocK-I^ngenangaben zar Information elnea 
Benutzers des icryptograf ischen SchlUssels iibertragen. 

Die Komponente 11 llefert Textinformationen iiber den 
Xrvptografischen schliissel. Hierbei kann es sich 
insbesondere um Anwendungs- Oder Sicherheitshlnweise fUr den 
Benutzer handeln. Die Komponente 12 gibt die elgentliche 
• Lange des zu zertif izierenden kryptograf ischen Schlusaels 

an. Die Daten des SchlUssels befinden sich in der Komponente 
13. 

wachdem der erste Tell des Zertifikats gernHB Tabelle 1 
erzeugt wurde, ist gemSB Fig. 1 mit der Erstellung dee 
.weiten Teils des Zertifikats f ortzufahren. Hierzu -^^^ eine 
elektronische Unterschrift des ersten Teils des Zertifikats 
erzeugt. Eine elektronische Unterschrift dient prinzipiell 
zar reststeliung der AuthenzititSt von elektronisch 
' tibermittelten Hachrichten oder elektronischen Dokumenten. 
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riG 2 zelgt das Grundprlnzip der vorliegendenEr finding. 

Mehrere z ^^^^^f^^^er) enthalten, warden zu einem 

7ert:ifilcat zusammengefaflt. Dxe in * J.^* 

ZertiiiK „.„v.«^„ die redudanten Da tenf elder in den 

Datenfelder kennzeichnen die Beispiel sind 

des Benutaers und Giiltigkeitsdauer des Scnius 
Unterschiedlich aind nur die jeweiligen 
zertitikatsscHliissel . 

^ At^ yorfcifikatsschlussel 1-3 mit den 
In diesem Fall werden die ZertitiKaT:s zortifikat 
^ ^ <H»nfcischen Datenfeldern an eimem zertitiKaii 
oben genannten ^j^^ere Schlussel vom 

zusaiwnengefaJit soweit gleichzeitxg menrer 
zusaiwn ^ derselben Zertif izierungsstelle 

glexchen Benutzer von ae Bxgebnis dieser 

zertlfiziert werden sollen- FIG. 3 zeigi- ^ 
zertxixa* iH^ntlschen und abweichenden 

zusaimnenfaasung von xdentiscnen u ™««„te 
DaLnfeldern (Grupp^nzertifiKat). Diose. ^^enannte 

"""^^rhrerrschtussel gleich.ei^ig von dergleich^n 

l^ntiscber GUltigKelt^dauer .usgastellt. warden. 

r^rr.:""::::! .e«U.Kata .e.n..ate. .^e SCXassaX 

von d« "-^f --r^o :.t;:^^^^^^^ 

rorr":«».K,t (Stand dar Tachnl.. 
fiber folgende Da tenf elder: 
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Name des Ausstellers 
Aussteller-ID 
Name des Benutzers 
Benutzer-ID 

Typ 7 vereion des Zertiflkats 
Anzahl and Typ der schliissel 
Offentlicher scnifisael 

Seriennununer des Sf fentlichen Schliissel 
Gultigkeltsdauer 

# Digltale Untarscnri ft: von der zertifizierungsstelle 

Beantragt derselbe Benutzer bei derselben 
zertlfizierungsatelle zeltllcn veraev^ j 

schlttssel, so wlrd das erf indungsgemfiBe Verfahren _ 

durcngef.hr., dan itun die Zer.i.izier«ngsstelle 
fur alle SchlUssel eln Basiszertifikat und fur ^eden 
SchlUssel ein Erganzungs-Zert^if iXat ausstellt. In, 
Basis^eri^ifikat sind alle redudanten D^tenfelder und ^ 

E^eiterungszertifilcat: sind alle abweichenden Datenfelder 
^"^arra. Bias solX am nachfolgenden Bei^^^^^ 

mit FIG. 4 erlautert warden. 

^ Ein Benutzer beantragt ein aimiges zertifikafc. Die 

• ZertifizierungssteXle stellt ihm ein Basis- und 
Erglnlrngszer^ifikat aus. i« Basiszer.if ika. sind folgende 

Datenf elder enthalten: 

Name des Ausstellers (Zertifi^ierungsstelle) 

Aussteller-ID 
Name des eenutzers 
Benutzcr-ID 

Typ / version der Zertifikate 
Serlennummer des Basiszertif Ikata 

Oigitale Onterschrift des Basiszertif ikats von der 
Zertif izierungsstelle 
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im Erganzungszertifikat sind folgende Datenf elder enthalten: 
Unterschrlft-Algorithmus 
Offentlicher SChlfissel 

Seriennummer das 5f fentlichen Schliissels 
ea 1 t igkel t sdaue r 
Erwe i t erungen 

Seriennummer des zugehSrigen Basiszerif ikats 

Digltale Unterschrlft des ErgSnzungs-zertif ikat von der 

Zertlf izierungsstelle 

Beantragt derselbe Benutzer einen weiteren Schltissel, so 
wird nur ein weiteres ErgMnzunga-Zertif ikat fur diesen 
schlussel angelegt, 

FIG. 5 zeigt in Form eines Ablauf diagramms das erf inderische 
Verfahren zum Erstellcn eines Zertif ikats, 

1. Dem vorzagsweise menue- gesteuerten verfahren werden 
folgende Infortnationen zur Verffigung gestelltt 

Wieviel SchlUssel sollen zerfcifiziert werden 

Infornvationen Uber den Benutzer , z. B. Mame Benutzer 
User ID Benutzer 

Informationen uber die Zertif izierungsstelle, z. B. 
Name der Zertiflzierungsstelle, UserlD 
Zertif izierungsstelle 

2. Basierend auf den informationen nach Schritt 1) pruft das 
Verfahren, ob gleichzeltig mehr als ein Schlussel 

zertif izlert werden soil 

3. Ergibt die Prafung nach Schritt 2), dafl gleichzeltig mehr 
ais ein Schltiasel zertifiziert werden soli, wird die 
enteprechende Anzahl von Schiasselpaaren erzeugt 
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4. sind die Schl^sselpaare nach scftritt 3 erzeugt, wird ©in 
gemeinsaBies zertifikat (Gruppenzertif ikat) zur 
Zertifizierung der Schlussel erstellt. Hierbei enthalt das 
zertifikat vorzugsw©lse folgende Datenfelder: 

- Name der zertifizierangsatelle 

- User ID zertif izierungsstelle 

- Name Benutzer 

- UserlD Benut-zer 

- Typ/versian des Zertiflkat.es 

- Anzahl and Typen der Schlussel 

- Schliissel 

- Gultigkeitsdauer 

- Seriennummer 

- Erweiterungen 

5. Danach wird eine dlgitale Siginatur iiber das zertifikat 
erzeugt. Die Einzelheiten dieses Verfahrens sind im 
Abschnitt zu FIG. 1 ausfUhrlich dargestellt. 

6. Die digitale Signatur wird an das Zertifikat angehangt 

7. Das zertifikat Slit der digitalen Signatur wird zu dem 
gewiinschten Speichentiedium iil>ertragen , das unter anderem 

^ eine Chipkarte eeln kann. Auf der Chipkarte wird das 

• Zertifikat mit der digitalen Signatur ini nichtf liichtigen 

Speicher (EPROM) in der chipkarte abgelegt. 

8. Ergibt jedoch die Priifung nach Schritt 2), daB im Moment 
nur ein SchlUssel zertifizlert werden soil, priift das 
Verfahren, ob beretts ein Basis-Eertif ikat verfiigbar ist 

9. 1st ein Basis-Zertifikat bereits verfiigbar, wird dieses 
Zertifikat geladen und die Seriennummer des Basis- 
zertlfikats - falls verfugbar - wird in den Arbeitsspeicher 
des Systems gelesen 
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10. Es wlrd em SchlU9s«lpaar(of fentlicher/privater 
Schliissel) erzeugt 

11. Es wird ein Erganzunga-Zertifikat mit vorzugsweise 
folgenden Datenfeldern erstellt: 

- Unterschrifts-Algorlthiftus 

- schliissel 

- seriennumiaer vom Schliissel 

- GUltigkeltsdauer des Zertifilcates 

- Erwelterungen 

- seriennnummer des Sasis-Zertif Ikates 

1.. .„3chlie0end wird das v^fahren der f ^^^^^^^^f ^^^^^ 

durchqefuhrt und die digitals Signatur wird an das 
Erganzvings-Zertifikat angehSngt 

13. im pane, daB Schritt 9 ergibt, dafl Icein Basis- 

w avcii-^iit; das erfinderxsche 

Zertiflkat verfugbar xst, erstelir aas 

— *. na«si<*-zertifil5at: mit folgenaen 

Verfahren ajuerst ein Basis 

Datenf eldern: 

- Name der zertlf izierungsstelle 

- UserlD der zertifiaierungsstelle 

- Name des Benutzers 

- UserlD des Benutzers 

- seriennummer des Basis-zertif ilcates 

14.Dann wird eine digitale Signatur iiber das Basis- 
Zertifikat erzeugt und an das Basis-zertifilcat angebangt 



IS. 



AnschlieBend wird ein Schliisselpaar eraeugt 
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16. Danach wlrd eln Erganaungs-Zertlfilcat nit folgenden 
Datenfeldern erstellts 

- Unterschrifts-Algorithmus 

- Schliissel 

- Seriennujnnier vom Schitissel 
' Giiltigkeitsdauer des Zertiflkats 

- Erweiterungen 

- Seriennnummer des Baais-zertif ikats 

17. Es wird eine dlgirale Signatur xibeir das Ergarvzungs- 
^ Zertifikat erzeugt und an das ErgSnasungs-Zertif ikat 

angehSngt:. 

FIG. 6 beschreibt das erfinderische Verfahren zum Lesen der 
nach FIG, 5 erstellten zertlfikate. 

Bs soil i«i nachfolgenden davon ausgegangen werden, dai3 elne 
bestlmmte Artwendung elne Anfrage an die Chipkarte sendet, 
eine Nachricht zu signieren. Die Chipkarte bendtigt fur das 
Signieren der Nachricht elnen Schlussel. Wie bereits in FIG. 
5 dargestellt worden ist, werden die jeweiiigen schlussel in 
den jeweiiigen ErgMnzungs-Zertif ikaten auf der Chipkarte 
abgelegt. Daa erf inderieche verfahren iiberpruft zuerst, ob 
Basls-Zertxflkate auf der Chipkarte abgelegt sind. Sind 
^ Jceine Basis-Zertifikate auf der Chipkarte abgelegt, bedeutet 

diee, dafl es keine Elngangs -Zertlfikate gibt. In diesem Fall 
kann der angefragte Signatur-Schlussel nur in einem 
Gruppenzertif ikat abgelegt sein. Oas Verfahren durchsucht 
die auf der Chipkarte abgelegten Gmppenzertif ikate auf 
einen geeigneten Signaturschlussel und ISdt das 
identfizierteOruppen- Zertifikat in den Arbeitsspeicher der 
Chipkarte. Der signaturschliissel kann jetzt aus dem 
zertifikat entnommen und zur Signatur der Nachricht 
verwendet werden. Stellt jedoch das Verfahren fest, daB auf 
der Chipkarte auch Basls-zertifiJcate abgelegt sind, 
untersucht das Verfahren zuerst alle abgelegten ErgSnzungs- 
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sidnaturschlUBsels fur ttie oeu* 

^ w n««t aus deal Erganzungs-Zertifiltat die 
seriennummer des Baais-Zertif^lcaW, sue 
aasis-Zertifikat: und liest ebenfalls xn den 

re....pe.cne. de. CH^^^^^^^^^^ r^zirra.^^^^^^^ .as 

rhlnkarte befinden sich jetzt, das easis />e* 
dazugehdrige Erganzungs-ZertxtiKat 
Signierschlussel . 

vorteile der vorliegenden Erfindung 

r.' v«rt«ile der vorliegenden Erfindung liagen darln, dafl 

Di-e Vortieiie aeir ^ ^4. j * ^ va^*a<5 bzw. Basis- 

B.1 den <3xapp.n«rti£ik«-n nit dre. 

Bi, 10000 Bytes an spel=herpl«z far d.e zertltakate 

eingespart. 

Bel den Beeis- und E«!in.ungs-ZertiflKaten werden nebe, de» 
ras.e.e.ti.i.at pro S.n.a«el weitere >cU.«re K,,^n.un„- 
«rti£lkate (SehlUssalzertif Ikate) ausgestellt. Der 
Plat.bed.rf l.t da^lt etwas 9ra«er .la bel 
aruppen«rtifikat.n, 5edo=n gewlnnt »an Fle«bxl.tat bex 

Verwendung der schliisscl . 
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verfahren zum Erstellen eines Zertif ikates zuni 
Zertifizieren eineB Schiiissels, wobei das Zertiflkat 
aus einer definierten Anzahl von Oatenelementen 
besteht, die zumindest In format ionen iiber die 
Zertifiaierungsstelle (Aussteller des zertif ikatea) , 
den Benutzer des zertif ikates und den durch das 
Zertifikat zertifizierten Schliissel enthalten, 

gekennzelchnet durch folgende Schritte: 

a) spesifizieren einer Arvfrage zur Zertif izierung 
eines der mehrerer Schliissel durch eine 
Zertif izierungsstelle fur einen Benutzer 

b) wenn nach Schrltt a) nur ein Schlxissel 
zertifizlert warden soli und noch kein Basis- 
Zertifikat fur den Benutzer vorhanden ist, 
Brstellen eines Basls-Zertifikates filx den 
Benutzer mit einer definierten Anzahl von 
Datenelementen, die £ur den jeweiligen Benutzer in 
verbindung wit der jeweiligen 
Zertlfizierungsstelle bei der zertif izierung 
identisch slnd 

c) Hinzufiigen detn Basis-Zertif ikat ein 
Ident i £ ikat ionsmerkmal 

d) Erzeugen einer digitalen Signatur uber das Basis- 
Zertlfikat 

e) Hinzufiigen der digtiaien Signatur zu dem Basis- 
ZertifiJcat 

f) Erzeugen eines Schlusselpaares 
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2. 



3. 



4 . 



a) Erstellen ernes ErgSn^ungs-Ze^tif ikats 

f). den. xdent:i£ikationmerlcn.al nach Schrltt: c) und 
wekeren Datenf eldern, die nicht duxch das Basis- 
zertif ikat erfaftt werden 

h, Erzeugen einer digitalen Signatur Uber das 
Erganzungs-zertif iKat 

i) HinzufUgen der digitalen Signatur dem 
ErgMnzungs-Zertifikat 

Verfahr^n nach Ansprucli 1 dadurch gekenn^eichnet. dafl 
das Basis-zertifikat aus folgenden Datenelementen 

besteht: 

- Name cler zeri^if Izierungsstelle 

- User ID Zertif izierungsatelle 

- Name Senutzer 

- userlD Benutzer 

- Identifikatlonsmerkmal des Basia-Zertikats 

verfahren nach Anspruch 1, dafl das Ergfinzungs- 
Zertif ikat aus folgenden Datenelementen besteht 

- unterschrifts-Algorithmus 

- schlusael 

- Seriennummer vom Schliissel 

- GUltigkeltsdauar des Zertlfikats 

- Erweiterungen ^ 

- identifikationsmerkmal des Basis -Zertif skates 

Verfahren nach Anspruch 1 dadurch gelcenn^eichnet, daB 

ralle, dai. nach Schritt a) ^^^f '^^^^'^ "^^1!!^^ 
schliissel n.it gleicher GUltigkeitsdauer zer^ifxziert 
warden sollen, anstatt: Schritten b) - i) folgende 
VerfahrensBchrltte durchgefUhrt werden; 
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aa) Erzeugen mehjrerer Schliisselpaare 

bb) Erzeugen eines Zertlfikats (Gruppen-Zertif ikat ) 

fiir mehrere Schliissel rait alien fur die einzelnen 
SchlUssel erforderlichen Dat.enelemente und nach 
nacli scJiritt aa) erzeugten Schliisseln unter 
weglassung der redundanten Datenelementen 

cc) Erzeugen ^iner digitals Signatur uber das 
Zertif xkat 

dd) Hinzufugen der digitalen Signatur zu dein 
Zertifikat 

5. Verfahren nach Anspruch 4 dadurch gekenn»eichnet, dalS 
das Zertifikat £olgende Datenelemente enthM.lt 

- Name der Zertif izierungsstelle 

- User ID Zertif izierungsstelle 

- Name Benutser 

- UserlD Benutzer 

- Typ/version des Zertifikats 

- Anzahl and Typen der Schliissel 

- Schliissel 

* Giiitlgkeitsdauer 

- Seriennunimer 

- Erweiterungen 

6. Verfahren nach Anspruch 1 dadurch gekennzelchnet , daB 
Lni Falle^ dafl nur ein Schliissel nach Schritt a) 
zertifiziert werden soli und bereits ein Basis- 
Zertifikat vorhanden ist/ anstatt Schrltten b) - i) 
folgende Verfahrensschritte durchgefiihrt werden: 

aa) Ermltteln des Basis-Zertif ikats und Lesen des 
Identif ikationsmerkmals des Basis*Zertikats 
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cc) 



dd) 



8. 



bb) Eraeugen eines ScnliisBepaares 

Erstellen eines ErgSn.unga-zertif ikats jur das 
Basis-zertifikat mlt w^iteren Datenfeldem, d.^ 
nic».t durch das Basi.-Zertif iKat: e.faflt: warden, 
wobei einer der SchlviSBel nach Schrltt. bb, x« 
Erganzungs-aertlf ixat eingefugt wird 

Exnsetzen dae identifllca.io..«erkmals nach Schritt 
aa) im Erganzungs-Zertlf iKat. zum Auffxnden des 
dazugeharigen Basis-Zertifikats 

ee) Erzeugen einer dlgitalen Signatur fiber das 
ErgSnaungs-Zertif ikat 

ff) Hlnzufiigen der digitalen Signatur zo. dem 
ErgSnzungs-ZertiflKat 

v.r«h«n na=« An.pruch 6, dadurch ge>.e„n»«ichn«t, daB 
^rEr9»n.»n,=-«.«ifl.c»t fol,e„de patenel^-ante 

- unterschrifts-Algorlthtnus 

- schLussel 

- serlennunmer vom Schlussel 

- Gfiltigkeltsdauer des Zertifikates 

- Erwelterungen * -*4v^.i-= 

- identifikationsmerkmal des Basis -Zertxfxkats 

v^rfanren zum Ersteilen eines 2"^^^^^^*^^^..!"" 
gleich.eitigen Zertif l.iaren 

gleicher GiiltigkeitSdauer, w«bei das ^^^^^ 
Irver deflnlerten Anzahl von Dat:e„ele™ent.en besteht, 
die zuinindest inf ormationen iiber dxe 

^ n» /a,i«afceller des zertif xkateS) , 
zertifizierungsstelle (Auss teller « 

den Benutzer des Zertifikates und den durch das 
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zertifikat zertif izlerten schlussel enthalten, 
gekennzeichnet durch foXgende schritte: 

aa) Erieugen mehrerer schliisselpaare 

bb) Eraeagen eines gemelnsamen Zerttfikats (Gruppen- 
Zert-if Ikat) fiir mehrere Schliisael mit alien fiir 
die einzelnen Schliissel erforderllchen 
Datenelemente und nach Schritt aa) eraeogten 
SchlUsseln unter Weglassung der redudanten 
Dat: enelemen^e 

CO Erzeugen einer digitals Signatur uber das Gruppen 
Zertifikat 

dd) Hinzufagen der digitalen Signatur zu dem Gruppen- 
Zertif Ikat 

9. verfahren nach Anspruch 6 dadurch gekennzeichnet, daB 
das Gruppen-zertiflkat folgende Datenelemente enthalt 

- Name der zertif izierungsstelle 

- User ID Zertif izierungsstelle 

- Name Benutzer 

- userlO Benutzer 

- TyP''^®'^®^*^'* Zertifikates 

- Anzalil and Typen der SchlUssel 

- schliissel 

- Gttltigkeitsdauer 

- Seriennuntmer 

- Erweiterungen 



10. verfahren zum Erstellen einea Zertifikata aum 
zertiflzieren elnes neuen schlussela ftir einen 
Benutzer, wobei das zertifikat aus einer definierten 
Anzahl von Datenelementen besteht, die zumindest 
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informatlonen uber die zertifiaierungss telle 
(Aussteller des Zertif ikates ) , derx Benutzer des 
Zertifikates und den durch das Zertifikat au 
zertifi^ierten Schliissel enthalten, wobei ein Basxs- 
zertifikates fur den Benutzer bereits vorhanden ist und 
das Basis-Zertifikat aus Dateneleinenten besteht, die 
fur den jeweilxgen Benutzer in Verbindung mit der 
3eweiligen zertif izierungsstelle bei der Zertif iaierung 
identiscn sind» 

gekennzeichnet durch folgende Schritte: 

Ertnittem des Basis-zertif ikats filr den Benutzer 
und Lesen des identif ikationsmerkroals des Basis- 
zertifikats 



aa) 



bb) Erzeugen eines schliiaseipaares 

cc) Erstellen eines Erganzunga-Zertif ikats fiir das 
Basis-zertlfikat roit weiteren Datenfeldern, die 
nicnt durch das Basis-Zertifikat erfaflt werden, 
wobei einer der schiassel nach schritt bb) im 
ErgSnzungs-Zertifikat eingefGgt wird 



dd) 



Einsetzen des tdentif ikationsmerkmals nach schritt 
aa) im Erganzungs-Zertif ikat zum Auffinden des 
dazugehorigen Basis-Zertif ikats 



ee) Erzeugen einer digitalen Signatur Uber das 
ErgSnzungs -Zertifikat 

ff ) HinzufUgen der digitalen Signatur zu dem 
Er gSnzu ngs - Zert i f ikat 

11. verfahren nach Anspruch 10, dadurch gekennzeichnet, dafi 
das Erganzungs-Zertif ikat folgende Datenalemente 

enth&lt: 
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- Uhterschrifts- Algorithmus 

- schlvissei 

- seriennununer vom Schltiasei 

- GultigJceitsdauer des zertifikates 

- Erweiterungen 

- identifikationsmerfcmal des Basis-Zertifikats 

12 Verfahren nach Anspruch 1, 4, 6 und 8 dadurch 

geJcennzeichnet, dafi der Schlusael oin Sffentlicher 
Schlussel ist. 

13. verfahren nach Anspruch 1 dadurch gekennaeichnet , daB 
das Basia-zertlfikat and das ErgSnzungs-Zertif ikat im 
nichtfliichtigen speicher elner Chipkarte abgelegt 
werden. 

14. verfahren nach Anspruch 4, dafl das Zertifikat (Gruppen- 
Zertif Ikat) im nichtf luchtigen Speicher einer Chipkarte 

abgelegt, wlrd . 

15. verfahren zuni I^sen von zertif ikaten, die nach Anspruch 
1 erstellt worden sind, gekennzeichnet durch folgende 
Schritte : 

a) Uberpriifen des Speichermediums auf Vorhandensein 
von. Basis-Zertifikaten 

to) wenn ja, Identif izieren des erf order! ichen 
Erganzungs-Zertifikats 

c) Einlesen des Erganzungs-Zertifikats in den 
Arbe its speicher einee Systems 

d) Erraitteln aer Identlfikationnummer des Basis- 
Zertifikates aua dem Erganaungs-Zertif ikat 
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e) Elnlesen des Basis-ZertiflKates in den 
Arbeitsapeicher 

ideni^lfiziert warden konnte. werden anBtatt Schrltte b) 
- e) folgende verf ahrenaschritue durchgefuhrf. 

£) itoerpriifen des speichermediums auf das 
Vorhaitdensein von Gruppen-Zert^lf ikaten 

g) Einlesen de« erf order lichen Gruppen-Zertif ikats in 
den Artoeitsspeicher 

schrltte: 

a) iiberprOfen des Speichertnediums auf das 
Vorhandensein von Gruppen-Zertlf iKaten 

I,, Einlesen des erf order lichen Gruppen-zertif ikats in 
den Arbeitsspeicher 

18 Verfahren nach Anspruch IS, 16 and 17 dadurch 
gekennzeichnet, dalJ das spelchermediutn exn 
nichtfliichtiger Speicher der Chipkarte ist. 
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Namo dos Aussteffers #i 

X.509 Version «1 
ntefschrtft Algorithmus #1 
AussteiteN0 
Benutzer-ID #1 
Nanie des Benutx&rs #1 

Sertennummer #1 
Cff^ntilclier SchlQs$ei #1 
GQItigkeitsdauer #1 
Ofgltale Unterechrift#1 
Erw^eltarungen #1 



Name des Aussteilers #2 
X,SOa Version #2 
Unterschria Algorithm us #2 
Aiissteller-iO #2 
Senuuer-IO #2 
Name des Benutzers #2 

$erlennummer#2 
OffentHcher SchlQssei #2 
Gaitigkeiisdauer«2 
Digitate Unterschrift#2 
Erweiterungen #2 



Name des Aussteilers #3 
X.S09 Version #3 
Unterschrift Algorlthmus #3 
Aus5te»er-ID #3 
Senutz6r-tO«3 
Name des Benutzers #3 

Sefientiummer#3 
dffentlicner Schlussel #3 
Ga!l<gkeitsdauer«3 
Oigltale Unterschrm#3 
erweiterungen#3 



FIG. 1 



Name des Aussteilers 
X.S09 Version 
Unterschjift. Algorlthmus 
Ausstel!er-lD 
8eniitzer-ID 
Namo des Benutzers 
G01tigkeltsdauer»1 
"Senennummer 



Name des Aussteilers 
X-S09 Version 
Unterschrift* Algorithmus 
Ausstelier-ID 
Benutzer-ID 
Name des Benutzers 
GQItigfcettsdauer #2 



Name des Aussteilers 
X.509 Version 
Unterschrlti. Algorithmus 
Aussteller^lD 
Benutzer-ID 
Name des Benutzers 
Gtiitiokeitsdauer #3 



Offentlicher Schlussel #1 
Dtgitale Unterschrift #1 
Erweiterungen #1 



iaenennummer tf2" 
Offentllcher Schlussel #2 
Gigitale Unterschrift #2 
Erweiterungen #2 



:»enennummer Hi 
Offenttichcr Schlussel 
Digitate Unterschrifl #3 
Erweiterungen #3 



FIG. 2 
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Name des Ausstelfefs 
X.509V.3 
Unteischrift Algorithmus 
Au$stetler40 
Benutzer-ID 
Mavne des Benotzfifs 
Seriehnummer 
Anzahl der SchlUssel * TVP 
dtfentlicher SchiUssei #1 
<iffen«ficher ScWOssel #2 
Offentlicher SchWsset #3 
Gultiglceftsdauef 
Digitale Unterschrift 
grwefterungeTi 



Mame des Aussteilers 

Name des 8emitter» 
BefiuUer-)D 

Serjeniwrnmer iS«s Bastecrtifikate 
Digitate Untefschrifl 




Ufrterachrins-Aigorithmtts #i 




Unlerschfifts-A»gofithmus « 

Sef ienmimmer des fifteftti. 
SctilOssets ^ 

D^ftale Unterschrift #2 
Seriennummer des 



Urttersctwrfls-Algofflilimus «3 



Offenti. SchWsseI#l 



Serlennucnmer des dfTcntl 



Erweiterungen «3 
Digitate Ufrters^f^** 
SerienrittTfiiner des 




Ervrtsttefungen fi 



DigitStfe UnterachriTt #1 
sef iennuRimer de$ 



BastszerttrmaU 
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Ermitteln Basis- 
Zertifikat durch Nummer 
des Erweilerungs-Zertifitets 



Lese 




FIG. 6 
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Zusammenfassmis 

Die vorliegende Erf tndung beschrelbt ein Verfahreh zur 
Erstellung, spelcherung und Lesen eines neuen Zertlf iJcatstyp 
zur zertif Izierung von Schltisseln. 

Oem neuen Zertlf ikatstyp liegt die Idee zugrunde, dafl 
mehrere Zertifikate, die elne Mindestmenge von redudanten 
DatenfeXdern enthalten, zu einem zertif ikat zusammengefaflt 
werden tosw, alle redudanten Inf ormaticnen der zertifikate 
eliminiert werden. Eine AusfiihrungsEonn des neuen 
Zertif ikatstyps ist das Gruppenaertif ikat. Das Gruppen- 
Zertiflkat eignet nur dann, wenn mehrere Schliissel 
gleichzeltig fiir denselben Benutzer von derselben 
zertif izlerungsinBtana ausgestellt werden sollen. Durch das 
Gruppen-Zertifikat werden alle redudanten Datenelemente 
eleminiert und alle Datenelemente f<ir mehrere zu 
zertlfizierende schliissel konunen in ein Zertif ikat, 
Hierdurch wird der Speicherbedarf maflgeblich reduziert und 
die Handhabung der Zertifikate wird bei den 
Kommunikationspartnern vereinfacht. Eine weitere 
Ausfuhrungsform des neuen Zertif ikatstyps ist das Basis- und 
ErgSnzungs-Zertifikat. Diese Form der Zertif izierung eignet 
sich bei zeitlich versetzter Ausstellung von Zertlf ikaten 
fur denselben Benutzer durch dieselbe Zertif Izierungsstelle. 
Der Speicherbedarf 1st daiait etwas grSfler als bei Gruppen- 
Zert if ikaten, jedoch gewlnnt man Flexibilitat bei der 
Verwendung der SchlUssel . 
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